Código HTML do Conteúdo
Post: 60 gems Ruby maliciosos baixados 275.000 vezes roubam credenciais - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Sessenta gems Ruby maliciosas contendo código de roubo de credenciais foram baixadas mais de 275.000 vezes desde março de 2023, visando contas de desenvolvedores.</p>
<p>As gemas Ruby maliciosas foram descobertas pela Socket, que relata que visavam principalmente usuários sul-coreanos de ferramentas de automação para Instagram, TikTok, Twitter/X, Telegram, Naver, WordPress e Kakao.</p>
<p>RubyGems é o gerenciador de pacotes oficial para a linguagem de programação Ruby, permitindo a distribuição, instalação e gerenciamento de bibliotecas Ruby, conhecidas como gems, muito parecidas com npm para JavaScript ou PyPI para Python.</p>
<p>As joias maliciosas desta campanha foram publicadas em RubyGems.org sob vários pseudônimos ao longo dos anos. Os editores ofensivos são zon, nowon, kwonsoonje e soonje, espalhando a atividade por várias contas para dificultar o rastreamento e o bloqueio.</p>
<p>A lista completa dos pacotes maliciosos pode ser encontrada em <a href="https://socket.dev/blog/60-malicious-ruby-gems-used-in-targeted-credential-theft-campaign" rel="nofollow noopener" target="_blank">Relatório do soquete</a>, mas abaixo estão alguns casos notáveis de pacotes com nomes enganosos ou typosquatted:</p>
<ul>
<li>Automatizadores no estilo WordPress: wp_posting_duo, wp_posting_zon</li>
<li>Bots no estilo Telegram: tg_send_duo, tg_send_zon</li>
<li>Ferramentas de SEO/backlink: backlink_zon, back_duo</li>
<li>A plataforma de blog imita: nblog_duo, nblog_zon, tblog_duopack, tblog_zon</li>
<li>Ferramentas de interação do Naver Café: cafe_basics[_duo], cafe_buy[_duo], cafe_bey, *_blog_comment, *_cafe_comment</li>
</ul>
<p>Todas as 60 gemas destacadas no relatório Socket apresentam uma interface gráfica do usuário (GUI) que parece legítima, bem como a funcionalidade anunciada.</p>
<p>Na prática, no entanto, eles atuam como ferramentas de phishing que exfiltram as credenciais que os usuários inserem no formulário de login para os invasores em um endereço de comando e controle (C2) codificado (programzon[.]com, appspace[.]KR, MarketingDuo[.]co[.]kr).</p>
<div>
<p><img decoding="async" alt="Snippet de código malicioso presente nas 60 gemas" height="356" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/code.png" width="716 /></div>
<p>The harvested data includes usernames and passwords in plaintext, device MAC addresses for fingerprinting, and the package name for campaign performance tracking.</p>
<p>In some cases, the tools respond with a fake success or failure message, although no real login or API call to the actual service is made.</p>
<p>Socket has found credential logs on Russian-speaking darknet markets that appear to derive from these gems, based on interactions with marketingduo[.]co[.]kr, a dubious marketing tool site tied to the attacker.</p>
<div style="><br />
<img decoding="async" alt="Logs do infostealer vinculados à campanha" height="508" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/logs.jpg" width="935 /></div>
<p>The researchers say that at least 16 of the 60 malicious Ruby gems remain available, although they have reported them all to the RubyGems team upon discovery.</p>
<p>Supply chain attacks on RubyGems aren't unprecedented, and they have been going on <a href=">há vários anos.</p>
<p>Em junho, a Socket <a href="https://www.bleepingcomputer.com/news/security/malicious-rubygems-pose-as-fastlane-to-steal-telegram-api-data/" rel="nofollow noopener" target="_blank">relatou outro caso</a> de gemas Ruby maliciosas que digitaram o Fastlane, um plug-in legítimo de código aberto que serve como uma ferramenta de automação para desenvolvedores de aplicativos móveis, visando especificamente os desenvolvedores de bots do Telegram.</p>
<p>Os desenvolvedores devem examinar as bibliotecas que obtêm de repositórios de código aberto em busca de sinais de código suspeito, como partes ofuscadas, considerar a reputação e o histórico de lançamentos do editor e bloquear dependências para versões “conhecidas por serem seguras”.</p>
</div>
</div></div>